Question sur les fichiers de configurations modifiés manuellement

Bonjour la communauté
j’ai requête mais je ne sais si c’est possible de mettre ça en place.
Lors des mises à jour de yunohost il y a régulièrement des modifications apportées dans certains fichiers de configurations et c’est bien normale, je pense à nginx par exemple.
Il m’arrive de me rendre sur https://www.ssllabs.com/ssltest/index.html et https://securityheaders.com/ et d’autres sites pour renforcer la sécurité de mon instance en suivant certaines recommandations, aussi pour avoir une meilleure note :wink: que je sois amené à modifier la configuration par défaut qui n’est plus mise à jour lors de futures mises à jour qui peuvent apporter des améliorations.

Il n’est pas possible d’avoir un fichier persistent un peu comme /etc/ssowat/conf.json.persistent pour la configuration de ngnix.

Merci pour vos éclaircissements.

Du coup j’imagine que c’est ça ta question ?

La réponse est : la conf nginx est beaucoup plus compliqué que la conf ssowat structurellement : il y a beaucoup de blocs différents et on peut vouloir ajouter des morceaux de façon globale, pour certaines domaine, ou pour certaines “location”. Donc c’est plus compliqué que juste avoir un système de fichier .persistent qui serait inclu partout.

Ceci dit, si il s’agit des paramètres de sécurité (genre ciphers), dans la version 3.8, la gestion de ces paramêtres est maintenant séparé dans un fichier security.conf.inc qui est inclu dans tous les domaines/virtualhost.

2 Likes

Merci pour ta réponse rapide.
Je vais regarder ça de prêt

@mib si tu veux renforcer la sécurité nginx:

yunohost settings set security.nginx.compatibility -v "modern"
yunohost tools regen-conf nginx --force

NB: ceci implique que certains équipements plus anciens ne pourront plus accéder aux sitewebs.

(It won’t change much until we switch to buster, c.f. https://github.com/YunoHost/yunohost/blob/stretch-unstable/data/templates/nginx/security.conf.inc#L5-L8 )

@Aleks merci pour ton aide, en modifiant mon security.conf.inc j’ai la même configuration pour mon domaine et mes sous domaines :+1:

@ljf merci pour la commande, mais quelle est la commande pour connaître la config actuelle ?

yunohost settings get security.nginx.compatibility

Mais comme l’indique Aleks, ça n’a actuellement plus d’incidence par contre ça en aura à nouveau en 4.0 (Buster).

Merci à toi,
je vais en tenir compte.